Nuevas medidas de protección frente a la suplantación de identidad en Colombia

La ley establece como principios aplicables los contenidos en la Ley 1266 de 2008 y la Ley 1581 de 2012, y destaca especialmente algunos como acceso y circulación restringida de los datos personales, seguridad en el tratamiento de la información, entre otros.

Entre las principales novedades y disposiciones de la ley se destacan:

1. La ley introduce definiciones para conceptos fundamentales como ciberseguridad, ingeniería social, persona suplantada, seguridad digital, suplantación de identidad digital, suplantación de identidad física y fuente.

2. Delimita y define los tipos de suplantación de identidad.

3. Los operadores de telecomunicaciones, entidades financieras y establecimientos comerciales deberán: adoptar medidas de seguridad digital para verificar la identidad de las personas, reportar a las víctimas como “víctima de falsedad personal” sin afectar su puntaje crediticio, atender solicitudes en diez (10) días hábiles, (iv) suspender inmediatamente bienes o servicios adquiridos fraudulentamente, entregar copia de los documentos utilizados para la aprobación del producto, reportar a la DIAN e investigar la posible responsabilidad de sus funcionarios. La SIC y la Superintendencia Financiera, en coordinación con el MinTIC, tendrán seis (6) meses para reglamentar los protocolos de atención a reportes de posible suplantación. El incumplimiento de dichos protocolos acarreará la suspensión de la gestión de cobranza, la modificación del reporte negativo y la devolución de dineros o eliminación de las acreencias derivadas del fraude.

4. La persona suplantada deberá:

• Informar a la entidad.
• Aportar prueba sumaria de la suplantación.
• Denunciar ante la Fiscalía o la Policía Nacional.
• Reportar perfiles falsos en redes sociales.
• Someterse a la validación de identidad que disponga la entidad.

5. Respecto de reportes en centrales de riesgo, si el titular de la información alega ser suplantado, la fuente debe cotejar documentos dentro de los diez (10) días hábiles siguientes y solicitar la modificación del dato negativo, incluyendo la leyenda “Víctima de Falsedad Personal”, la cual no afectará la calificación de riesgo. Si no se resuelve en quince (15) días hábiles (prorrogables por ocho más), opera el silencio administrativo positivo.

6.Cuando una persona se oponga al cobro de un bien o servicio alegando una suplantación, los operadores de telecomunicaciones, entidades financieras y/o crediticias y demás establecimientos con estas competencias, deberán suspender inmediatamente el cobro, incluyendo intereses y costos de cobranza. La persona contará con veinte (20) días hábiles para interponer denuncia penal, y de no hacerlo, se reanudará el cobro. Esta suspensión se mantendrá hasta pronunciamiento judicial definitivo y si se comprueba la suplantación la persona queda exonerada. En caso contrario, se reanuda el cobro con los intereses y gastos correspondientes, y podrá enfrentar responsabilidad por falsa denuncia.

7. Se establece el deber especial de verificación por medio del cual, si la entidad encuentra elementos que evidencien la suplantación, podrá liberar a la víctima de interponer denuncia penal y exonerarla de todo cobro. Sin embargo, no podrá declarar que no existió suplantación, decisión reservada a la autoridad judicial.

8. Se dispondrán canales virtuales, físicos y telefónicos para atender a las víctimas. El Gobierno tendrá seis (6) meses para diseñar la ruta pública de atención. Se autoriza financiar campañas audiovisuales accesibles sobre manejo de datos personales y rutas de atención ante suplantación.

Esta ley entrará en vigencia dentro de los seis (6) meses siguientes a su promulgación, con excepción de los parágrafos primero y segundo del artículo 5, los cuales entrarán en vigencia con la promulgación de la ley.